ПОЛЬЗОВАТЕЛЯМ

Закрыть

Поиск

Поиск

Поддержка
Круглосуточная поддержка

Напишите

Запрос через форму

Позвоните

Бесплатно по России:
8-800-333-79-32

ЧаВо | Форум

Напишите

Задать вопрос в поддержку

Ваши запросы

  • Все: -
  • Незакрытые: -
  • Последний: -

Позвоните

Бесплатно по России:
8-800-333-79-32

Свяжитесь с нами Незакрытые запросы: 

Профиль

Профиль

RU
RU CN DE EN ES FR IT JP KZ UZ PL BY
Закрыть

Переключение языка сайта

Новости компании

Следуйте за нашими новостями в удобном для вас формате

Удобные для вас новости

@ [Telegram] [Vkontakte]

Новости

Комментарии

Все | Мои | Правила

Дайджесты

Все | Подписка

Полезно знать

Новости о вирусах
Мероприятия
«Антивирусная правДА!»
Информеры
Пресс-центр

Назад к списку новостей

Встречайте Dr.Web vxCube 1.3!

21 марта 2019 года

«Доктор Веб» представляет Dr.Web vxCube 1.3 – значительно улучшенную версию интерактивного анализатора подозрительных файлов. В этом обновлении был усовершенствован гипервизор, выпущена новая версия API, увеличена скорость анализа файлов, а также исправлены выявленные ошибки.

Самые важные изменения коснулись внутренней части и сердца анализатора – был переработан гипервизор, используемый для анализа файлов в ОС Windows. Это позволило сделать виртуальную среду, в которой анализируется подозрительный файл, еще более незаметной для исследуемого образца. Вторым важным изменением в Dr.Web vxCube 1.3 является API 2.0. Если в предыдущей версии поддерживались только самые базовые функции, то в этом обновлении пользователю доступен расширенный набор взаимодействий с сервисом. Кроме того, была улучшена детализация результатов анализа, исправлены ошибки и увеличена скорость обработки файлов.

Новая версия анализатора уже доступна для всех, кто приобрел лицензию на Dr.Web vxCube. Также вы можете попробовать демоверсию анализатора на сайте «Доктор Веб».

Для покупки лицензии обращайтесь в службу поддержки продаж.

Рассмотрим подробнее самые важные изменения.

Улучшение защиты от обнаружения

Существуют разные подходы к организации слежения за виртуальной средой, в которой исследуется подозрительный файл. Самый простой способ подразумевает реализацию модуля ядра, перехватывающего нужные функции путем подмены обработчиков в SSDT. Несмотря на то, что этот метод устарел, он все еще применяется в некоторых анализаторах. Главный недостаток такого подхода – наличие стороннего драйвера может быть обнаружено исследуемым образцом. Более того, перехваты функций могут быть сняты, что полностью «ослепит» анализатор.

При разработке Dr.Web vxCube изначально использовался альтернативный подход, что позволило избежать подобных проблем. Необходимые функции перехватываются незаметно для гостевой ОС, с использованием техник аппаратной виртуализации. Это позволило значительно повысить незаметность анализатора и лишить исследуемый образец возможности уйти от слежения.

В новой версии Dr.Web vxCube 1.3 специалисты «Доктор Веб» использовали самые последние технологии для того, чтобы сделать анализатор еще более незаметным для исследуемых образцов. Теперь Dr.Web vxCube не видят даже средства обнаружения виртуальных машин, такие как Pafish. Подобные программы состоят из набора техник проверки среды, которые часто используются во вредоносных программах. К примеру, Pafish проверяет:

  • размер жесткого диска и оперативной памяти;
  • разрешение экрана;
  • движения мыши;
  • таймер TSC виртуальной машины;
  • наличие в системе ПО, идентификаторов устройств и MAC-адресов сетевых адаптеров, характерных для анализаторов и виртуальных машин.

Dr.Web vxCube Pafish

Как видно на скриншоте, Pafish успешно обнаружил виртуальную среду при проверке Timestamp counters. Несмотря на то, что для калибровки этого таймера предусмотрено специальное поле в структуре, используемой при аппаратной виртуализации, правильно его настроить довольно сложно. Это связано с проблемой точного определения числа тактов, происходящих при vmexit и vmresume. Благодаря решению, найденному нашими специалистами, Dr.Web vxCube 1.3 остается незамеченным даже при подобной проверке. Ниже представлены результаты проверки Dr.Web vxCube 1.3 с помощью последней версии программы Pafish.

Dr.Web vxCube Pafish

Обновление Dr.Web vxCube 1.3 не ограничивается незаметностью для Pafish. При помощи специалистов из вирусной лаборатории «Доктор Веб» были собраны данные о многих других техниках проверки виртуальной среды, используемых во вредоносном ПО.

Среди них:

  • проверка информации о кулере;
  • наличие термальных зон в ACPI материнской платы;
  • наличие ярлыков, установленных программ и обновлений ОС;
  • использование Xeon процессора и др.

На данный момент анализатор Dr.Web vxCube 1.3 проходит все существующие проверки.

API 2.0 для Dr.Web vxCube

У пользователей Dr.Web vxCube появилось значительно больше способов взаимодействия с сервисом. Благодаря новому API возможно:

  • получить информацию о результатах анализа файлов и список предыдущих анализов;
  • получить список поддерживаемых форматов и платформ для анализа;
  • получить список всех загруженных файлов;
  • получить информацию о лицензии;
  • создать дополнительные ключи для доступа к HTTP API;
  • получить архив с результатами анализа или конкретный файл из архива;
  • подписаться с помощью веб-сокетов на прогресс по анализу файла.

Также были реализованы пожелания пользователей по внедрению таких функций как скачивание PCAP-файлов без скачивания всего архива и удаление отчетов.

Полный список возможностей API 2.0 доступен в документации.

Попробовать Dr.Web vxCube 1.3

Нам важно Ваше мнение

Комментарии размещаются после проверки модератором. Чтобы задать вопрос по новости администрации сайта, укажите в начале своего комментария @admin. Если ваш вопрос к автору одного из комментариев — поставьте перед его именем @


Другие комментарии